??????? 3、信息資產管理
??????? 3.1 資產管理職責
??????? 3.1.1資產清單與責任人
??????? IDC對所有信息資產度進行識別，將所有重要資產都進行登記、建立清單文件并加以維護。
??????? IDC中所有信息和信息處理設施相關重要資產需指定責任人。
??????? 3.1.2資產使用
??????? 指定信息與信息處理設施使用相關規則，形成了文件并加以實施。
??????? 3.2 信息資產分類
??????? 3.2.1資產分類管理
??????? 根據信息資產對IDC業務的價值、法律要求、敏感性和關鍵性進行分類，建立一個信息分類指南。
??????? 信息分類指南應涵蓋外來的信息資產，尤其是來自客戶的信息資產。
??????? 3.2.2信息的標記和處理
??????? 按照IDC所采納的分類指南建立和實施一組合適的信息標記和處理程序。
??????? 4、人力資源安全
??????? 這里的人員包括IDC雇員、承包方人員和第三方等相關人員。
??????? 4.1信息安全角色與職責
??????? 人員職責說明體現信息安全相關角色和要求。
??????? 4.2背景調查
??????? 人員任職前根據職責要求和崗位對信息安全的要求，采取必要的背景驗證。
??????? 4.3雇用的條款和條件
??????? 人員雇傭后，應簽署必要的合同，明確雇傭的條件和條款，并包含信息安全相關要求。
??????? 4.4信息安全意識、教育和培訓
??????? 入職新員工培訓應包含IDC信息安全相關內容。
??????? 至少每年一次對人員進行信息安全意識培訓。
??????? 4.5安全違紀處理
??????? 針對安全違規的人員，建立正式的紀律處理程序。
??????? 4.6雇傭的終止與變更
??????? IDC應清晰規定和分配雇用終止或雇用變更的職責；雇傭協議終止于變更時，及時收回相關信息資產，并調整或撤銷相關訪問控制權限。
??????? 5、物理與環境安全
??????? 5.1 安全區域
??????? 5.1.1邊界安全與出入口控制
??????? 根據邊界內資產的安全要求和風險評估的結果對IDC物理區域進行分區、分級管理，不同區域邊界與出入口需建立卡控制的入口或有人管理的接待臺。
??????? 入侵檢測與報警系統覆蓋所有門窗和出入口，并定期檢測入侵檢測系統的有效性。
??????? 機房大樓應有7×24小時的專業保安人員，出入大樓需登記或持有通行卡。
??????? 機房安全出口不少于兩個，且要保持暢通，不可放置雜物。
??????? 5星級IDC：出入記錄至少保存6個月，視頻監控至少保存1個月。
??????? 4星級IDC：出入記錄至少保存6個月，視頻監控至少保存1個月。
??????? 5.1.2 IDC機房環境安全
??????? 記錄訪問者進入和離開IDC的日期和時間，所有的訪問者要需要經過授權。
??????? 建立訪客控制程序，對服務商等外部人員實現有效管控。
??????? 所有員工、服務商人員和第三方人員以及所有訪問者進入IDC要佩帶某種形式的可視標識，已實現明顯的區分。外部人員進入IDC后，需全程監控。
??????? 5.1.3防范外部威脅和環境威脅
??????? IDC對火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞建立足夠的防范控制措施；危險或易燃材料應在遠離IDC存放；備份設備和備份介質的存放地點應與IDC超過10公里的距離。
??????? 機房內應嚴格執行消防安全規定，所有門窗、地板、窗簾、飾物、桌椅、柜子等材料、設施都應采用防火材料。
??????? 5.1.4公共訪問區和交接區
??????? 為了避免未授權訪問，訪問點（如交接區和未授權人員可以進入的其它地點）需進行適當的安全控制，設備貨物交接區要與信息處理設施隔開。
??????? 5.2 設備安全
??????? 5.2.1設備安全
??????? 設備盡量安置在可減少未授權訪問的適當地點；對于處理敏感數據的信息處理設施，盡量安置在可限制觀測的位置；對于需要特殊保護的設備，要進行適當隔離；對信息處理設施的運行有負面影響的環境條件（包括溫度和濕度），要進行實時進行監視。
??????? 5.2.2支持性設備安全
??????? 支持性設施（例如電、供水、排污、加熱/通風和空調等）應定期檢查并適當的測試以確保他們的功能，減少由于他們的故障或失效帶來的風險。
??????? 實現多路供電，以避免供電的單一故障點。
??????? 5.2.3線纜安全
??????? 應保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。
??????? 電源電纜要與通信電纜分開；各種線纜能通過標識加以區分，并對線纜的訪問加以必要的訪問控制。
??????? 線纜標簽必須采用防水標簽紙和標簽打印機進行正反面打印（或者打印兩張進行粘貼），標簽長度應保證至少能夠纏繞電纜一圈或一圈半，打印字符必須清晰可見，打印內容應簡潔明了，容易理解。標簽的標示必須清晰、簡潔、準確、統一，標簽打印應當前后和上下排對齊。
??????? 5.2.4設備維護
??????? 設備需按照供應商推薦的服務時間間隔和說明書，進行正確維護；設備維護由已授權人員執行，并保存維護記錄1年。
??????? 5.2.5組織場所外的設備安全
??????? 應對組織場所的設備采取安全措施，要考慮工作在組織場所以外的不同風險。
??????? 5.2.6設備的安全處置或再利用
??????? 包含儲存介質的設備的所有項目應進行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫。
??????? 5.2.7資產的移動
??????? 設備、信息或軟件在授權之前不應帶出組織場所，設置設備移動的時間限制，并在返還時執行符合性檢查；對設備做出移出記錄，當返回時，要做出送回記錄。
??????? 6、通信和操作管理
??????? 6.1 運行程序和職責
??????? 6.1.1運行操作程序文件化
??????? 運行操作程序文件化并加以保持，并方便相關使用人員的訪問。
??????? 6.1.2變更管理
??????? 對信息處理設施和系統的變更是否受控，并考慮：重大變更的標識和記錄；變更的策劃和測試；對這種變更的潛在影響的評估，包括安全影響；對建議變更的正式批準程序；向所有有關人員傳達變更細節；返回程序，包括從不成功變更和未預料事態中退出和恢復的程序與職責。
??????? 6.1.3職責分離
??????? 各類責任及職責范圍應加以分割，以降低未授權或無意識的修改或者不當使用組織資產的機會。
??????? 6.1.4開發設施、測試設施和運行設施的分離
??????? 開發、測試和運行設施應分離，以減少未授權訪問或改變運行系統的風險。
??????? 6.2 第三方服務交付管理
??????? 6.2.1服務交付
??????? 應確保第三方實施、運行和保持包含在第三方服務交付協議中的安全控制措施、服務定義和交付水準。
??????? IDC應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續得以保持。
??????? 6.2.2第三方服務的監視和評審
??????? 應定期監視和評審由第三方提供的服務、報告和記錄，審核也應定期執行，并留下記錄。
??????? 6.2.3第三方服務的變更管理
??????? 應管理服務提供的變更，包括保持和改進現有的信息安全方針策略、程序和控制措施，要考慮業務系統和涉及過程的關鍵程度及風險的再評估
??????? 6.3系統規劃和驗收
??????? 6.3.1容量管理
??????? IDC各系統資源的使用應加以監視、調整，并做出對于未來容量要求的預測，以確保擁有所需的系統性能。
??????? 系統硬件系統環境的功能、性能和容量要滿足IDC業務處理的和存貯設備的平均使用率宜控制在75%以內。
??????? 網絡設備的處理器和內存的平均使用率應控制在75%以內。
??????? 6.3.2系統驗收
??????? 建立對新信息系統、升級及新版本的驗收準則，并且在開發中和驗收前對系統進行適當的測試。
??????? 6.4防范惡意代碼和移動代碼
??????? 6.4.1對惡意代碼的控制措施
??????? 實施惡意代碼的監測、預防和恢復的控制措施，以及適當的提高用戶安全意識的程序
??????? 6.4.2對移動代碼的控制措施
??????? 當授權使用移動代碼時，其配置確保授權的移動代碼按照清晰定義的安全策略運行，應阻止執行未授權的移動代碼。
??????? 6.5 備份
??????? 6.5.1備份
??????? 應按照客戶的要求以及已設的備份策略，定期備份和測試信息和軟件。各個系統的備份安排應定期測試以確保他們滿足業務連續性計劃的要求。對于重要的系統，備份安排應包括在發生災難時恢復整個系統所必需的所有系統信息、應用和數據。
??????? 應確定最重要業務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。
??????? 6.6 網絡安全管理
??????? 6.6.1網絡控制
??????? 為了防止使用網絡時發生的威脅和維護系統與應用程序的安全，網絡要充分受控；網絡的運行職責與計算機系統的運行職責實現分離；敏感信息在公用網絡上傳輸時，考慮足夠的加密和訪問控制措施。
??????? 6.6.2網絡服務的安全
??????? 網絡服務（包括接入服務、私有網絡服務、增值網絡和受控的網絡安全解決方案，例如防火墻和入侵檢測系統等）應根據安全需求，考慮如下安全控制措施：為網絡服務應用的安全技術，例如認證、加密和網絡連接控制；按照安全和網絡連接規則，網絡服務的安全連接需要的技術參數；若需要，網絡服務使用程序，以限制對網絡服務或應用的訪問。
??????? 6.7 介質管理
??????? 6.7 .1可移動介質的管理
??????? 建立適當的可移動介質的管理程序，規范可移動介質的管理。
??????? 可移動介質包括磁帶、磁盤、閃盤、可移動硬件驅動器、CD、DVD和打印的介質
??????? 6.7 .2介質的處置
??????? 不再需要的介質，應使用正式的程序可靠并安全地處置。保持審計蹤跡，保留敏感信息的處置記錄。
??????? 6.7 .3信息處理程序
??????? 建立信息的處理及存儲程序，以防止信息的未授權的泄漏或不當使用。
??????? 包含信息的介質在組織的物理邊界以外運送時，應防止未授權的訪問、不當使用或毀壞。
??????? 6.8 信息交換
??????? 6.8.1信息交換策略和程序
??????? 為了保護通過使用各種類型的通信設施進行信息交換，是否有正式的信息交換方針、程序和控制措施。
??????? 6.8.2外方信息交換協議
??????? 在組織和外方之間進行信息/軟件交換時，是否有交換協議。
??????? 6.8.3電子郵件、應用系統的信息交換與共享
??????? 建立適當的控制措施，保護電子郵件的安全；為了保護相互連接的業務信息系統的信息，開發與實施相關的方針和程序。